AJ-REPORT全新鉴权及远程命令修复绕过

文章预览

TL;DR 前几天在公众号看到 AJ-Report 未授权远程命令执行，这个洞还挺通杀的。今天看了下命令执行似乎已经修复了，但是这里的 patch 可以绕过。另外最关键的 TokenFilter 中的鉴权绕过漏洞没修，其实鉴权修复了也会有默认 key 导致鉴权绕过的问题。文末给出了利用工具，实测好用。 漏洞分析 鉴权绕过 这个系统的接口绝大部分都需要登陆，需要绕一下。 鉴权逻辑在 TokenFilter ： 经典通过 request.getRequestURI() 拿到 uri ，后面如果 uri 包含 swagger-ui 直接放行。 因为是拿的 URI ，没有参数信息所以没法用 ?swagger-ui 绕。 但可以用 ;swagger-ui 绕过，因为 parsePathParameters:950, CoyoteAdapter (org.apache.catalina.connector) 这里会取分号作为 pathParamStart 。 而 pathParamEnd 这里会取 / 作为结尾。最后截断中间的字符串，也就是说 /a;b/c 最终会解析为 /a/c 所以用 /dataSetParam;swagger-ui/verificat ………………………………